capstone
Corrigé dans
3.0.5rc2
La vulnérabilité CVE-2017-6952 est un dépassement d'entier détecté dans la fonction cswinkernelmalloc du module winkernel_mm.c de la bibliothèque Capstone. Cette faille peut entraîner un déni de service en provoquant un dépassement de tampon basé sur le tas au sein d'un pilote de noyau, compromettant potentiellement la stabilité du système. Elle affecte les versions de Capstone inférieures ou égales à 3.0.4 et a été corrigée dans la version 3.0.5rc2.
Un attaquant peut exploiter cette vulnérabilité en fournissant une valeur excessivement grande à la fonction cswinkernelmalloc. Cela provoque un dépassement d'entier, conduisant à une allocation de mémoire incorrecte et à un dépassement de tampon dans le tas du pilote de noyau. L'exploitation réussie peut entraîner un plantage du système, une perte de données ou, dans des scénarios plus complexes, permettre à un attaquant de prendre le contrôle du noyau. Bien que la description ne précise pas d'exploitation directe du noyau, le fait que la vulnérabilité se situe dans un pilote de noyau augmente considérablement le risque. Des dépassements de tampon similaires dans des pilotes de noyau ont historiquement été exploités pour exécuter du code arbitraire.
La vulnérabilité CVE-2017-6952 a été rendue publique le 16 mars 2017. Il n'y a pas d'indication d'une exploitation active à grande échelle. Aucun Proof of Concept (PoC) public n'a été largement diffusé, bien que la nature du dépassement de tampon dans un pilote de noyau suggère qu'il pourrait être exploitable par des acteurs disposant d'une expertise en sécurité système. La vulnérabilité n'est pas répertoriée sur le KEV de CISA.
Statut de l'Exploit
EPSS
0.35% (percentile 57%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque Capstone vers la version 3.0.5rc2 ou ultérieure. Si la mise à niveau n'est pas immédiatement possible, il est crucial de limiter la taille des entrées fournies à la fonction cswinkernelmalloc. Bien que cela puisse ne pas être directement réalisable, une validation rigoureuse des entrées avant de les transmettre à Capstone peut atténuer le risque. Sur les systèmes où Capstone est utilisé dans un contexte de virtualisation, l'isolement des machines virtuelles peut limiter l'impact d'une exploitation réussie. Après la mise à jour, vérifiez l'intégrité de la bibliothèque Capstone en comparant son hachage SHA256 avec celui fourni par le fournisseur.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2017-6952 is a HIGH severity buffer overflow vulnerability in Capstone disassembler versions 3.0.4 and earlier. An integer overflow in the cswinkernelmalloc function can lead to a denial of service when processing large values.
You are affected if you are using Capstone disassembler version 3.0.4 or earlier. Check your version using capstone --version and upgrade if necessary.
Upgrade to Capstone version 3.0.5rc2 or later to resolve the vulnerability. If immediate upgrading isn't possible, implement input validation on values passed to cswinkernelmalloc.
There is currently no evidence of CVE-2017-6952 being actively exploited in the wild, and public POC code is limited.
Refer to the Capstone project's security advisories and the NVD entry for CVE-2017-6952 for official information: https://nvd.nist.gov/vuln/detail/CVE-2017-6952
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.